Kiekviena sistema registruoja duomenis diagnostikos tikslais – tiek programų nukrypimus, tiek saugumo incidentus. Registravimas paprastai yra tylus procesas, netrikdant vartotojo, nes dažniausiai kiekvienas žmogus nori susikoncentruoti į savo kasdienių darbų atlikimą, o ne į IT sistemų veikimo niuansus. Tačiau yra situacijų, kai sistemos žurnalai labai praverčia diagnozuojant nukrypimus, aptinkant duomenų nutekėjimą ir atakas bei renkant įrodymus. Jei žurnalai yra tik operacinėse sistemose, jie gali būti nepasiekiami įvykus saugos incidentui.
Centralizuotas registravimas – tai žurnalų rinkimas iš tinklų, serverių ir programų į vieną vietą analizei ir saugojimui. Tokie žurnalai suteikia administratoriams išsamų visos veiklos tinkle vaizdą, todėl lengviau nustatyti ir šalinti problemas. Tokios centrinės registravimo sistemos naudojamos saugos informacijos ir įvykių valdymui (SIEM), siekiant nustatyti ir pašalinti grėsmes, kol jos nepaveikė kasdienių operacijų.
Centriniai saugomi žurnalai pateikia sistemos veiklos, įvykių ir pakeitimų visame tinkle audito seką.
Jie gali padėti šalinti sistemos funkcionalumo problemas, našumo sutrikimus ar saugumo incidentus. Sistemos žurnalai naudojami siekiant nustatyti, kada sistemoje buvo atlikti pakeitimai ir kas juos atliko. Žurnalai dažnai būtini dėl reguliavimo reikalavimų ir yra įrodymas, atskleidžiantis intencijas duomenų praradimo incidento atveju.
Jei sistema, į kurią jungiamasi jau užpulta ir ją jau perėmę kibernetiniai nusikaltėliai, tokiu atveju nebegalima naudoti pačios sistemos žurnalų diagnostikai. Be to, siekiant apriboti grėsmės plitimą, būtina nedelsiant izoliuoti sistemą. Centralizuotas žurnalų registravimas suteikia vertingos informacijos, leidžiančios diagnozuoti ir užkirsti kelią atakoms prieš kitas sistemas.
Komercinių paslapčių apsauga
Komercinių paslapčių apsauga yra daugialypis procesas, kurio metu saugotina informacija turi atitikti bent šiuos reikalavimus:
- informacija nėra visuotinai žinoma ar lengvai prieinama asmenims, kurie paprastai dirba su tokio pobūdžio informacija;
- informacija dėl savo slaptumo turi komercinę vertę;
- informacijos valdytojas ėmėsi būtinų priemonių, kad informacija būtų konfidenciali.
Be to, kas paminėta, taip pat turi būti įrodyta, kad darbuotojas gavo prieigą prie komercinės paslapties ir ja pasinaudojo.
Toks įrodinėjimo poreikis dažnai atsiranda praėjus keliems mėnesiams po pasinaudojimo prieiga, dažniausiai po to, kai buvęs darbuotojas įsidarbina pas konkurentą. Operacinėse sistemose žurnalas saugomas labai trumpą laiką, tik gedimų diagnostikai, todėl jei prireikia įrodymų, jų rasti nebeįmanoma. Centrinis žurnalas optimizuotas ilgalaikiam saugojimui ir analitinėms užklausoms įrodymams rasti.
Operatyvinė priemonė specialistui
Kiekvienas serveris, tinklo įrenginys ir taikomoji programa žurnalus registruoja savo formatu. Jei IT specialistas turi rankiniu būdu prisijungti prie sistemų ir skaityti skirtingus formatus, procesas yra lėtas ir sunku rasti reikiamus žurnalo įrašus. Centrinė SIEM sistema sujungia skirtingų sistemų žurnalus tuo pačiu formatu. Todėl IT specialistas gali analizuoti visų valdomų sistemų žurnalus vienoje vietoje naudodamas tą pačią užklausų logiką. Taip pat galima rasti sąsajas tarp incidentų, pavyzdžiui, bendros atakos prieš organizacijos serverius. Ataskaita, pagrįsta vienu žurnalu, suteikia išsamų saugumo situacijos vaizdą.
Apibendrinimas
Centralizuoto žurnalų rinkimo privalumai:
- išsamus viso kompiuterių tinklo vaizdas
- veiklos per ilgą laikotarpį įrodymas
- greitesnis problemų aptikimas ir sprendimas
- skirtingų žurnalų formatų konvertavimas į standartinį formatą
- ryšių tarp skirtingų įvykių paieška
- specialistų laiko taupymas šalinant problemas
- išsami visos sistemos veikimo ataskaita.